|
|
Zverejnené 13. 9. 2018 13:03:22
|
|
|
Tento článok popisuje návrh parametra metadát pre referer v HTTP protokole, pomocou ktorého môže HTML dokumentácia ovládať, či sa posiela referer, iba hostname, alebo celý referer. Hoci existujú spôsoby, ako ovládať referery, napríklad flash a niektoré triky s js, tento článok popisuje iný príbeh.
Scenáre použitia
V niektorých prípadoch môže byť tento parameter metadát referera použitý, keď chce webová stránka kontrolovať informácie o refereri, ktoré stránka posiela serveru z rôznych dôvodov.
Súkromie
Sociálne siete zvyčajne majú osobné stránky používateľov, na ktorých môžu používatelia pridať niektoré odkazy na internet, a sociálne siete nemusia chcieť uniknúť URL používateľskej stránky pri kliknutí používateľa, pretože tieto URL môžu obsahovať citlivé informácie. Samozrejme, niektoré sociálne siete môžu chcieť v refereri uviesť len názov hostiteľa namiesto celej URL informácie.
Bezpečnosť
Niektoré webstránky, ktoré používajú https, môžu používať parameter (sid a pod.) v URL ako používateľské prihlasovacie údaje a potrebujú importovať zdroje z iných https webov, v takom prípade stránka určite nechce odhaliť údaje používateľa.
Disciplína objekt-schopnosť
Niektoré webové stránky dodržiavajú disciplínu Object-Capability a referer je presným opakom tejto stratégie, takže by bolo výhodné, keby stránka mohla kontrolovať refeera.
Technické detaily:
Parameter metedát referera možno nastaviť na nasledujúce typy hodnôt:
Nikdy
vždy
Pôvod
predvolený stav
Ak vložíte meta tag do dokumentu a atribút názov má hodnotu referer, klient prehliadača spracuje tag nasledovne:
Po vyššie uvedených krokoch, keď prehliadač v budúcnosti vykoná HTTP požiadavku, odpovie podľa hodnoty obsahu nasledovne (hodnota referer-policy nižšie je hodnota obsahu v meta tagu):
príklad
Ak stránka obsahuje nasledujúce meta tagy, všetky požiadavky z aktuálnej stránky nebudú obsahovať referer:
Ak stránka obsahuje nasledujúci metatag, HTTP požiadavka z aktuálnej stránky bude obsahovať iba časť pôvodu (poznámka: v závislosti od kontextu v pôvodnom texte chápem, že pôvod je tu čiastočná URL obsahujúca schému a názov hostiteľa, nie iné časti URL po ceste a podobne), nie celú URL:
Poznámka: Pri použití meta tagov popísaných v tomto článku sa pôvodná politika referera prehliadača poruší, napríklad pri preskakovaní z http protokolovej stránky na https stránku, ak je nastavená príslušná hodnota, referer sa tiež prenesie.
Ďalšie otázky
Čo to má spoločné s rel=noreferer? Je možné, že rel=noreferer prepíše hodnotu nastavenú meta tagom v tomto článku. Teda funkčné krytie.
Informácie o pôvode nie sú úplná URL, takže klient prehliadača pravdepodobne pridá / za pôvod ako časť cesty.
Čo by sa stalo, keby bol Origin jedinečný? Odhaduje sa, že odporúčateľ bude ignorovaný.
|
Predchádzajúci:Class path obsahuje viacero väzieb SLF4J.Budúci:Efekty kliknutia myšou na prednej strane: sloboda, demokracia, prosperita
|
